Squid + AD
-
Всем доброго времени суток.
Имеется pfSense v1.2.3 в качестве шлюза, установленный на нем Squid v2.7.9_4.1, сеть с контроллером домена на Windows 2003 R2 SP2 Ru и желание настроить авторизацию пользователей squid на основе их доменных учетных записей :)
За основу была взята статья http://sys-adm.org.ua/www/squid-ad.php
На сколько я понимаю для возможности авторизации пользователей squid в AD необходим winbind с режимом безопасности ADS.
И так ставлю самбу из консоли, в конце установки пишет:pkg_add -rf 'ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i386/packages-7.2-release/Latest/samba33.tbz'
…
...
...Samba3 package now doesn't include ADS support due the portability problems
with Kerberos5 libraries on different installations. You need to compile port
yourself to get this functionality.For additional hints and directions, please, look into the README.FreeBSD file.
т. е. ADS использовать не получиться, возникает несколько вопросов:
1. Есть ли возможность реализовать задуманное без winbind или с другим режимом безопасности?
2. Можно ли в pfSense установить самбу при помощи make, где уже можно будет отметить опцию ADS?Буду благодарен за помощь в решении данного вопроса!
-
2. Можно ли в pfSense установить самбу при помощи make, где уже можно будет отметить опцию ADS?
Нет, все лишнее убрано из системы для снижения размеров образа.
-
Есть ли возможность реализовать задуманное без winbind или с другим режимом безопасности?
Возможно. В основе AD - тот-же LDAP, так и работай с ним как с LDAPом.
В инете полно инфы на тему связи Squid и LDAP. -
Спасибо, настроил через LDAP, все заработало.
Мои настройки в сквиде:
Authentication method - LDAP
LDAP version - 3
Authentication server - 192.168.14.1
Authentication server port - 389
LDAP server user DN - cn=pfsense,cn=Users,dc=test,dc=local
LDAP password - <пароль доменной учетной записи pfsense, входит только в группу пользователей домена>
LDAP base domain - ou=InternetUsers,dc=test,dc=local
LDAP search filter - sAMAccountName=%sТеперь доступ в Интернет есть только у тех, кто находится в OU InternetUsers, причем подходит N-ое число старых паролей, зависит от значения в GPO.
Не радует только то, что не принимаются логины/пароли в которых содержатся кириллические символы, кто-нибудь смог это победить?